As bolsas de Cripto devem analisar com atenção os serviços de mascaramento de endereços IP

Richard Malish é consultor jurídico geral da NICE Actimize, onde presta consultoria sobre questões globais de combate à lavagem de dinheiro, fraude, conformidade comercial e regulamentação bancária.

O Procurador-Geral de Nova York ("NY AG") emitiu recentemente um relatório sobre suas investigações de apuração de fatos para várias plataformas de negociação de moeda virtual que se acredita estarem operando em Nova York. Uma de suas muitas descobertas interessantes foi como as redes privadas virtuais ("VPNs") podem permitir a manipulação do mercado.

VPNs são uma ferramenta crítica para traders de Criptomoeda preocupados com privacidade, bem como o único método para alguns traders acessarem esses Mercados em países como a China. Com base no relatório do NY AG, as exchanges de Cripto devem presumir que o acesso VPN não é mais permitido?

Não necessariamente, mas eles precisam analisar a questão no contexto mais amplo de seu programa geral de conformidade.

Dando um passo para trás, o foco do NY AG em VPNs estava no contexto da eficácia dos controles de acesso para garantir justiça e integridade e proteger os clientes. Os controles de acesso começam com processos básicos de Know Your Customer ("KYC") para confirmar a identidade de um novo cliente.

Enquanto oito das plataformas de negociação que responderam à consulta exigiram que os clientes enviassem várias formas de informações pessoais e identificação emitida pelo governo antes de negociar, a Bitfinex exige pouco mais do que um endereço de e-mail para negociar entre bolsas (em oposição a sacar/depositar moeda fiduciária). A Tidex, que declara que proíbe usuários dos Estados Unidos e está atualmente entrando com um processo na Financial Crimes Enforcement Network (FinCEN) para se tornar uma empresa de serviços financeiros, exige apenas um nome, endereço de e-mail e número de telefone.

Um controle de acesso adicional comum para negócios online é monitorar endereços IP de usuários para determinar sua localização geográfica aproximada e rastrear comportamento suspeito vindo de uma conexão de computador específica. Por exemplo, transações em várias contas vindas de um endereço IP podem ser suspeitas. Acesso simultâneo de endereços IP que não estão próximos pode ser um sinal de fraude ou um ataque cibernético.

Endereços IP também podem ser mascarados usando VPNs que roteiam a conectividade por meio de uma rede de terceiros. Isso permite que um indivíduo finja residência em uma jurisdição diferente ou abra várias contas e finja que não estão relacionadas. Empresas que bloqueiam o acesso VPN, como Netflix e Hulu, provavelmente estão rastreando o acesso em uma lista conhecida de servidores VPN. Esses controles não são infalíveis, pois os serviços VPN frequentemente alteram os endereços IP do servidor para ficar um passo à frente (como aqueles que usam VPN para acessar o Facebook ou trocas de Cripto da China, onde VPNs sem licença são ilegais, podem validar).

Enquanto a maioria das exchanges que responderam ao NY AG relataram que monitoram o acesso por endereço IP, apenas duas alegaram limitar o acesso VPN. As duas exchanges, Bitstamp e Poloniex (agora parte da Circle), se retiraram de várias jurisdições devido a questões regulatórias.

Negociação de lavagem

Além de garantir que endereços IP de Nova York não tenham acesso a bolsas não autorizadas, o procurador-geral de Nova York levantou preocupações de que as bolsas de Cripto que não exigem documentação para executar uma negociação nem tomam medidas ativas para bloquear o acesso via VPN podem não ser capazes de lidar com atividades de negociação manipuladoras ou abusivas.

Por exemplo, um indivíduo pode abrir duas contas e se envolver em operações de lavagem, que ocorrem quando os comerciantes compram e vendem o mesmo ativo repetidamente para criar a falsa aparência de atividade de mercado para movimentar os preços.

Infelizmente, acredita-se que operações de lavagem sejam comuns nos Mercados de Cripto porque as bolsas são classificadas com base no volume de negociação.

Um relatório estima que mais de 7 das 10 principais bolsas se envolvem em negociações de lavagem excessivas, de 12x a mais de 100x seu volume real, e acredita-se que uma ONE inflacione suas negociações em 4.400x.

Lavagem de dinheiro

O acesso VPN também pode representar riscos de uma perspectiva antilavagem de dinheiro. Os cambistas de moeda virtual estão sujeitos aos requisitos antilavagem de dinheiro do Bank Secrecy Act desde 2011. O não cumprimento dos requisitos KYC pode resultar em grandes penalidades, como a multa de US$ 700.000 avaliada pela FinCEN contra a Ripple Labs em 2015.

O Escritório de Controle de Ativos Estrangeiros (OFAC) também declarou que tratará as moedas digitais da mesma forma que as moedas fiduciárias, e as violações de sanções acarretam responsabilidade objetiva, que não exige que a intenção de violar a lei seja comprovada.

A FinCEN tem se concentrado em endereços IP mencionados em relatórios de atividades suspeitas (SARs) por muitos anos. Em 2014, a agência relatou que uma investigação de endereços IP mencionados em SARs encontrou 975 acessos para possíveis endereços de rede Tor, correspondendo a relatórios totalizando quase US$ 24 milhões em provável atividade fraudulenta.

No entanto, antes do advento das criptomoedas, era improvável que a FinCEN esperasse o registro de um SAR apenas por causa do uso de diferentes endereços VPN. Alguns bancos restringiram o acesso VPN a sites, mas as políticas diferem entre as empresas.

Novas regras são improváveis, mas...

Será interessante ver se a natureza puramente online das criptomoedas, e talvez o crescimento dos bancos digitais, resultarão em maior escrutínio regulatório dos EUA sobre VPNs. Parece improvável que regras prescritivas federais de VPN sejam aprovadas em breve, dada a abordagem conservadora adotada por reguladores como a Securities and Exchange Commission (SEC) e a Commodity Futures Trading Commission (CFTC) em questões mais fundamentais relacionadas à Criptomoeda.

Até hoje, o relatório do NY AG aparentemente é apenas uma plataforma para educar o público e fornecer uma série de perguntas que os consumidores devem fazer para se proteger ao considerar várias exchanges. Embora três das quatro exchanges que não responderam à investigação, Binance, Gate.io e Kraken, tenham sido denunciadas ao Departamento de Serviços Financeiros do Estado de Nova York (DFS) por potencial violação dos regulamentos de moeda virtual do estado, não está claro se o relatório do NY AG encorajará o DFS ou outros reguladores a forçar as exchanges de moeda digital a proibir VPNs.

Em vez disso, as exchanges de Criptomoeda provavelmente serão forçadas a considerar o acesso VPN como parte de quaisquer ações regulatórias ou de aplicação da lei para manipulação de mercado, o que pode acontecer a qualquer dia. O DFS em fevereiro de 2018 já lembrou as empresas de moeda virtual de implementar medidas para impedir a manipulação de mercado.

E o Departamento de Justiça dos EUA (DOJ) supostamente tem trabalhado com a CFTC em uma investigação criminal de possível manipulação de mercado em Mercados de Cripto desde pelo menos o verão. A CFTC provou que leva a manipulação de mercado relacionada à Criptomoeda a sério já em 2015, quando resolveu acusações de wash trade contra a TeraExchange pela infração bastante inócua de relatar uma transação de teste de swap de Bitcoin como uma transação real.

Conclusão

As bolsas de Criptomoeda que operam nos EUA ou fazem negócios com clientes nos EUA devem revisar imediatamente suas políticas de verificação e monitoramento de acesso autorizado.

Se sua empresa deseja continuar a permitir endereços VPN mascarados, a decisão deve ser tomada em consideração a outros controles e aos danos que a manipulação de mercado ou as acusações de combate à lavagem de dinheiro teriam nos negócios da sua empresa. Por exemplo, controles de acesso por reconhecimento facial podem ser considerados como um método alternativo para impedir que uma pessoa negocie em várias contas.

No entanto, se sua exchange atualmente permite que os usuários abram várias contas, não tem uma Política de manipulação de mercado ou está incentivando ativamente a manipulação de mercado para aumentar sua classificação de capitalização de mercado, a VPN pode ser apenas uma nota de rodapé em sua eventual ação de execução.

MASKimagem via Shutterstock